怎么预防sql注入攻击
浏览数:19 /
时间:2015年06月12日
假设sql是搜索用户A的文章,sql会是这样:
select * from table where owner=‘A‘;
sql注入攻击者会修改用户名来实现攻击,例如把A 改成A‘ or 1=‘1
组合后的sql语句:
select * from table where owner=‘A‘ or 1=‘1‘;
这样就可以获取所有用户的文章
可见,sql攻击就是把部分数据内容伪造成sql语句,例如上面把 or 1=伪造成sql语句来实现攻击
而伪造的方法,就是在内容里面加入引号,所以预防sql注入的方法就是把传入的参数里面的引号进行转义,例如上面把用户名改成 A\‘ or 1=\‘1,就可以预防这样的sql攻击
引号包括单引号和双引号
python的MySQLdb模块中有专门转义的函数:
import MySQLdb def safe(s): return MySQLdb.escape_string(s)
郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。
